[发明专利]用于与客户机-服务器数据信道一起使用的信道数据封装系统和方法

说明书

公开了关于用于监测并报告数据中心的网络通信量中的威胁的系统和方法。例如，一个实施例公开了一种方法：由第一安全微服务接收封装了第一封装上下文和第一经封装数据的第一信道数据封装分组；使用第一封装上下文对第一经封装数据执行安全服务；由第一安全微服务将第二信道数据封装分组传送到第二安全微服务，其中，第二信道封装分组包括对安全服务的请求；由第一安全微服务接收来自第二安全微服务的响应，该响应包括第二安全微服务上下文、第二安全微服务时间戳和第二安全微服务负载。第一安全微服务进一步生成包括在对第一信道数据封装分组的响应中的时间戳和负载。

技术领域

本文中描述的实施例总体上涉及网络安全。具体而言，本文中描述的实施例总体上涉及用于与客户机-服务器数据信道一起使用的信道数据封装系统和方法。

背景技术

云计算服务的扩展已导致服务器集合提供计算容量来运行各种客户机应用。一些客户机-服务器连接使用专用网络。其他客户机-服务器连接使用虚拟专用网络以便就像这些客户机-服务器连接已由专用网络直接连接那样通过公共网络来交换数据。云计算服务的扩展已导致数据中心向主机服务器的扩展。一些被托管的服务器被容纳在多租户数据中心中，并且与其他潜在不相关的服务器共享资源。

数据安全和监测网络通信量是此类数据中心中的要求。在服务器与客户机应用之间行进的数据为了安全需要被监测。在此类数据中心中、包括在多租户场景中监测数据流时要解决的一个问题是如何将数据路由至多租户安全系统中正确的服务器。冲突会在发生在具有相同IP地址和MAC地址的多个服务器之间。在此类数据中心中要解决的另一问题是如何通过安全微服务的层级结构中的正确的安全微服务来路由分组(packet)。

附图说明

通过阅读以下说明书和所附权利要求书，并且通过参考附图，本文中公开的实施例的各优点对于本领域技术人员将是显而易见的，在附图中：

图1是图示计算机硬件的框图，该计算机硬件用于从存储器加载网络安全系统微服务，并由处理器执行这些网络安全系统微服务；

图2图示根据实施例的满足使用安全微服务实现了三倍横向扩展(scale out)要求的可缩放安全架构的实施例。

图3图示根据实施例的通过横向扩展微服务来满足任意横向扩展要求；

图4是图示根据实施例的安全服务的框图，该安全服务用于通过路由网络监测应用与一个或多个服务器之间的通信量；

图5图示数据分组封装；

图6是利用客户机-服务器数据信道来使用信道数据封装方法的过程的实施例；并且

图7是图示根据实施例的应用数据在经过安全微服务的层级结构之后遍历到服务器的流程框图。

具体实施方式

在以下描述中，阐述了众多具体细节。然而，应当理解，可在没有这些具体细节的情况下实践本公开的实施例。在其他实例中，没有详细示出公知的电路、结构和技术，以避免使对本说明书的理解含糊。

说明书中对“一个实施例”、“实施例”“示例实施例”等等的引用表示所描述的实施例可包括特定特征、结构或特性，但是，每一个实施例可不必一定包括该特定特征、结构或特性。此外，此类短语不一定是指同一实施例。进一步地，当结合实施例来描述特定特征、结构或特性时，应当认为，无论是否明确地描述，结合其他实施例来实现此类特征、结构或特性在本领域的技术人员的知识范围内。